(一)总则(目标、原则、适用范围、预案调用关系等)。
(二)应急组织机构。
(三)预警响应机制(报告、评估、预案启动等)。
(四)各类危机处置流程。
(五)应急资源保障。
(六)事后处理流程。
(七)预案管理与维护(生效、演练、维护等)。
第一百二十五条 各单位定期组织应急预案的演练,并指定专人管理和维护应急预案,根据人员、信息资源等变动情况以及演练情况适时予以更新和完善,确保应急预案的有效性和灾难发生时的可获取性。
第一百二十六条 各单位计算机安全工作领导小组统一负责各业务系统的应急协调与指挥,决定重大事宜(决定应急预案的启动、灾难宣告、预警相关单位等)和调动应急资源。
第一百二十七条 总行办公厅负责统一向社会发布应急事件公告,其他任何单位或个人不得向社会发布应急事件公告。
第十二章 安全监测、检查、评估与审计
第一节 安全监测
第一百二十八条 各单位科技部门应整合和利用现有网络管理系统、计算机资源监控系统、专用安全监控系统以及相关设备与系统的运行日志等监控资源,加强对网络、重要计算机系统和机房环境等设施的安全运行监测。
第一百二十九条 各单位科技部门应建立运行监测周报、月报或季报制度,报送本单位计算机安全工作领导小组和上一级科技部门,抄送相关业务部门。
第一百三十条 各单位要及时预警、响应和处置运行监测中发现的问题,发现重大隐患和运行事故应及时协调解决,并报上一级单位相关部门。
第二节 安全检查
第一百三十一条 各单位科技部门应至少每年组织一次本单位或辖内的信息安全专项检查,安全检查方式可以是自查、互相或上级检查多种方式。
第一百三十二条 各单位在开展安全检查前应以安全管理制度为依据制订详细的检查方案和计划,确保检查工作的可操作性和规范性。安全检查完成后应及时形成检查报告,经本单位主管领导批准后将检查整改报告尽快送达被检查单位。要求限期整改的,需要对相关整改情况进行后续跟踪。
第一百三十三条 各单位参加检查的人员对检查中的涉密信息负有保密责任。所有检查报告和资料应作为人民银行内部材料妥善保管,不得向外界泄露。
第一百三十四条 各单位应将每次安全检查报告和整改落实情况整理汇总后报上一级科技部门备案。
第三节 安全评估
第一百三十五条 各单位科技部门可采用自评估、检查评估和委托评估等方式,每年至少组织一次对本单位或辖内信息系统的安全评估。
第一百三十六条 安全评估应在不影响信息系统正常运行的情况下进行。评估开始前,应制定评估方案并进行必要的培训。评估结束后,形成评估报告,提出整改意见报本单位科技部门主管领导。
第一百三十七条 各单位如聘请第三方机构进行安全评估,应报总行科技司批准,并与第三方评估机构签订安全保密协议后方可进行。本单位信息安全管理人员全程参与评估过程并实施监督。
第一百三十八条 各单位应妥善保管信息安全评估报告,未经授权不得对外透露评估信息。
第四节 安全审计
第一百三十九条 各单位科技部门在支持与配合内审部门开展审计信息安全工作的同时,应适时开展本单位和辖内的信息系统日常运行管理和信息安全事件全过程的技术审计,发现问题及时报本单位或上一级单位主管领导。
第一百四十条 各单位应做好操作系统、数据库管理系统等审计功能配置管理,应完整保留相关日志记录,一般保留至少一个月,涉及资金交易的业务系统日志应根据需要确定保留时间。
第十三章 奖励与处罚
第一百四十一条 各单位每年应组织一次本单位和辖内信息安全管理工作评比活动,对达标单位的相关人员应给予一定的奖励,对表现突出的单位和个人进行通报表彰并给予一定形式的奖励。
